NTT東日本

企業情報


ホーム > 企業情報 > CSR活動 > 4つのCSRテーマについて > 安心・安全なコミュニケーション > 情報セキュリティの確保


情報セキュリティの確保

Theme1 安心・安全なコミュニケーション 毎日の安心を信頼でつなぐ使命 私たちは、情報通信に関する社会的な課題に真摯に取り組み、安心・安全な利用環境と、災害時にも強いネットワークを構築し、安心と信頼を提供します。

基本姿勢および今期の成果と来期に向けた取り組み

基本姿勢

常に安心・安全なサービスを提供し、ステークホルダーの皆さまから信頼される企業であり続けるために、お客さま情報をはじめとした各種情報の適切な取り扱いに向けたルール整備と継続的な改善、社員の啓発とセキュリティ対策等の充実に努め、技術の進歩や世の中の動向に即した適正な情報の管理徹底を図っています。

今期の成果と来期に向けた取り組み

NTT東日本
情報セキュリティ推進部
担当部長
岸 高宏

NTT東日本グループでは、お客さま情報等のセキュリティの徹底・強化を図るため、主要子会社・委託先会社を含めたグループ横断的・統一的な情報セキュリティの推進体制を構築しています。この体制の下、「情報セキュリティ基本規程」に基づき、点検・監査の実施や各種研修による社員の知識向上・意識醸成、セキュリティゾーンの構築をはじめとした技術的・物理的対策の強化等により、情報セキュリティの確保に努めてきました。

2015年度は、法令やガイドラインの改正を踏まえ、社内規程等を見直すとともに、管理体制や業務プロセスの整備等を実施しました。また、近年巧妙化している標的型攻撃メールによる被害や手口を踏まえた演習の実施等、社員教育・啓発活動の充実に努めました。

情報セキュリティに関する社会的な要請は、今後一層高まっていくと考えており、安心・安全なサービスの提供を支えるため、より高いレベルでのセキュリティ確保に向けた取り組みを継続していきます。

パフォーマンス・ハイライト

情報セキュリティ関連研修を全対象者が受講(約5.9万名:100%実施)

情報セキュリティ監査を全対象組織に対して実施(49組織:100%実施)

セキュリティレベル底上げに向けたセキュリティ人材の創出(延べ約3,100人[2016年3月末現在])

法令やガイドラインの改正を踏まえ、特定個人情報(マイナンバー)の適正な取り扱いや委託先会社の監督強化に向けた社内規程の見直しや業務プロセスの整備、これらに関する社員教育の実施

擬似的な標的型攻撃メールを発信し、実際に社員が攻撃メールを受信した際の対応方法を理解するための演習を実施

セキュリティ人材育成に向けた「模擬環境でのサイバー演習」や「eラーニングによるセキュリティ講座の活用」等の実施

情報セキュリティの基本動作の再確認とマインド醸成を目的に、全社員を対象とした教育・啓発の実施

NTT東日本グループにおける情報セキュリティマネジメント

情報セキュリティ推進体制

NTT東日本では、お客さま情報をはじめとした各種情報の保護・管理、適正な取り扱い等のさらなる徹底・強化を図り、グループ横断的かつ統一的に情報セキュリティ対策を推進する専門組織として「情報セキュリティ推進部」を設置するとともに、主要なグループ会社においても「情報セキュリティ担当」を設置し、グループ全体での情報セキュリティ推進体制を構築しています。

また、社内委員会として、「情報セキュリティ推進委員会」を設置し、情報セキュリティに関する基本方針等の審議や、各種対策等の検討・推進を行っています。

さらに、情報セキュリティ推進部に専担の監査担当を設置し、本社、事業部、支店、グループ会社、主要な委託先会社におけるお客さま情報等の取り扱いルールの遵守状況等を定期的に点検・監査しています。これらの取り組みを通じて、セキュリティ対策の有効性を評価し、必要に応じてルールや施策の改善・見直しにつなげています。

NTT東日本におけるマネジメント

情報セキュリティを確保するため、情報セキュリティ推進部が、本社、事業部、すべてのステークホルダーのルールの遵守状況を点検・監査を行い、情報セキュリティ推進委員会がセキュリティ対策の有効性評価、変更が必要な場合の方向付けをし、ルール・対策の具現化につなげていき、各組織単位で情報セキュリティに関するPDCAを展開していることを説明したイメージ図

適正な情報の取り扱い

NTT東日本グループでは、情報セキュリティに対する社会的要請を十分に認識し、お客さま情報をはじめとした各種情報について厳格かつ適正に取り扱うことが、電気通信事業者としての重要な責務であるとの認識の下、NTTグループの「情報セキュリティポリシー」に基づき、情報セキュリティの強化に努めています。

2011年11月には公正競争の促進等を目的に電気通信事業法が改正され、その中で他事業者との接続に関連する情報について厳正な管理が求められています。NTT東日本グループでは、接続関連情報を適正に管理するための体制を整備し、従来からの取り組みをさらに充実させています。

2015年度においては、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(番号法)の施行を踏まえ、プライバシーポリシーや社内規程を見直しました。あわせて、マイナンバーを適正に取り扱うための管理体制や業務プロセスの整備を実施しました。

また、「電気通信事業における個人情報保護に関するガイドライン」の改正等を踏まえ、委託先会社の監督強化等を図りました。

情報セキュリティに係る社内規程の体系

情報セキュリティに関する社内規程の体系を説明するイメージ図。「規程」は、基本的な考え方や規則であり、NTT東日本グループのルールでは「情報セキュリティ基本規程」、「接続関連情報の適正な取扱い等に関する規程」等があげられます。「基準」は実施上のルールで、グループのルールには「職場環境における情報セキュリティ基準」、「情報システムセキュリティ対策基準」、「情報管理基準」、「委託契約に関する情報セキュリティ基準」、「情報セキュリティ教育に関する基準」、「情報セキュリティ監督基準」、「情報セキュリティ事故管理基準」等があります。「指針・マニュアル」は効率的な運用や実効性を高めるための手続きで、グループのルールでは、「お客様情報保護に関する指針」、「お客様情報・接続関連情報管理・運用マニュアル」、「お客様情報開示運用マニュアル」、「誓約書制度運用マニュアル」等があります。2015年に制定された特定個人情報の適正な取り扱いに関する基準も、社内の基準へ反映しています。

安心・安全な情報セキュリティ環境の構築

システム等による技術的セキュリティ対策

メールの誤送信防止システムのイメージ

社外宛へメールを送信する際に、送信者が「送信先」「メール本文の内容」「添付ファイルの内容」に誤りがないか確認を求める画面自己確認の画面が表示され、上長が承認をしたメールが送信されるシステムを説明したイメージ図

お客さま情報等を保有する重要なシステムの運用にあたっては、業務目的によって細分化されたアクセス権限の設定や操作ログの記録・保存等により、情報の不適正な利用の防止を図っています。

また、お客さま情報等を誤って社外へ流出することを防止するため、メールを送信する際に送信ボタンを押すと「送信先」「メール本文の内容」「添付ファイルの内容」に誤りがないかを自ら確認する機能や、社外宛のメールにファイルを添付して送信する場合は添付ファイルが自動的に暗号化されるとともに、管理者の承認を必要とするしくみを導入しています。

その他情報セキュリティ対策として、ファクス誤送信防止機能の付加や指紋認証機能付きUSBメモリの導入等、リスク低減した情報の受け渡し方法等の各種対策を実施しています。

セキュリティゾーンの構築による物理的セキュリティ対策

事務室の入退室管理のイメージ

事務室の天井に設置された監視カメラ 事務所への入退室の際に、指先を使って生体認証している様子 指先を使って生体認証している様子の手元を拡大した写真

(生体認証装置による入退室規制と監視カメラによる作業状況の監視の例)

お客さま情報等を日常的に取り扱う事務室においては、取り扱う情報の内容に応じてカメラの設置や生体認証装置による入退室規制等を実施するセキュリティゾーンを構築し、厳格に情報を取り扱うよう規制しています。

さらに、お客さま情報等をシステムから抽出する等の業務を行う事務所においては、セキュリティゾーン内に入退室のログ管理が可能なゲートを設置し居室を分離する等、一層厳格な措置を講じています。

外部からの不正アクセス、標的型攻撃等に対する対策

標的型攻撃メール演習のイメージ

擬似的な攻撃メールを受信した訓練者が、セキュリティ担当者にエスカレーションする流れを説明したイメージ図

NTT東日本ではサイバーセキュリティに関する専門組織を設置し、「装備」「運用」「対処」の観点から、多層防御等の必要な対策に取り組んでいます。あわせて、危機管理体制を整備し、サイバー攻撃を想定したインシデント対応訓練にも取り組んでいます。

2015年度は、近年巧妙化している標的型攻撃メールによる被害や手口を踏まえ、擬似的な攻撃メールを発信し、実際に攻撃メールを受信した社員がセキュリティ担当者へエスカレーションする一連の流れを理解するための演習等を実施しました。

情報セキュリティに関する各種点検の実施

事業第一線の組織自らが、情報に関する取り扱いの遵守状況を毎日点検するとともに、システムへのアクセス権限付与が適正であるかを確認する点検と、アクセスログによるシステムの不適正な利用がないかを確認する点検を定期的かつ厳格に実施しています。

セキュリティ人材の育成

セキュリティ人材の役割イメージ

セキュリティ人材の役割を上級、中級、初級とレベルで区分し、人材タイプをセキュリティマネジメント・コンサル、セキュリティ運用、セキュリティ開発で区分してそれぞれの役割を示したイメージ図

NTTグループでは、グループ内のセキュリティ人材育成強化として、2020年度までに国内のセキュリティ人材を1万人へ強化することを目標に掲げ、セキュリティ人材を3つの人材タイプ(セキュリティマネジメント・コンサル、セキュリティ運用、セキュリティ開発・研究)と3段階の人材レベル(上級、中級、初級)に大別し、役割イメージに応じた人材育成施策をグループ各社で推進しています。

NTT東日本グループにおいても、セキュリティ人材の育成が急務であると認識しており、「模擬環境でのサイバー演習」「eラーニングによるセキュリティ講座の活用」や「セキュリティ専門業務での実務経験」等に取り組むことで、育成を進めています。

2016年3月末現在のセキュリティ人材の認定数は、当初予定より加速し、延べ約3,100人となっており、引き続きセキュリティ分野における業務の中核を担う中級人材のさらなる拡大に向け、より実践的な人材育成プログラムの拡充に取り組んでいきます。

社員の声:つなぐ力

NTT東日本
ネットワーク事業推進本部
ネットワークセキュリティ推進室
セキュリティ技術部門
セキュアディレクション担当

遠藤 友美

万全のセキュリティ対策でネット社会の中枢を担います

近年、サイバー攻撃の脅威は急速に増大しており、対策が急務となっています。NTT東日本のネットワークは、社会生活を支えるきわめて重要なインフラであり、その安心・安全を守るために私たちは最新技術に基づく知恵と努力を惜しみなく注いでいかなければなりません。私たちネットワークセキュリティ推進室では、サイバー攻撃の最前線に立ち、最新の攻撃対策技術や攻撃動向を日々活用することで、安心・安全なネットワークの運用を支えていきます。

情報セキュリティに関する社員一人ひとりのマインド醸成

基本動作の再確認とマインド醸成を目的とした研修・啓発の実施

事故事例を漫画形式で紹介しています。担当者がデータを保存したUSBメモリをなくしたことを上司に報告し、禁止されている私物のUSBメモリであったことも判明してしまい、日常業務で起こりうる事故をわかりやすく説明しています。

事故事例コンテンツの例

多くの参加者が説明に聞き入る様子

情報セキュリティ改善ワークショップ
(社外講師による講話の模様)

資料やスライドを活用しながら取り組みを紹介する担当者

情報セキュリティ改善ワークショップ
(優良施策の発表・議論の模様)

情報セキュリティを確保するためには、導入した対策を一過性の取り組みで終わらせることなく、改善を繰り返しながら継続的に実践していくことが重要であり、すべての社員等が情報セキュリティの重要性を十分に認識・理解し、かつ能動的に取り組む企業風土を醸成する必要があります。

そのため、本社、事業部、支店、グループ会社の社員を対象に、eラーニングや集合形式によるお客さま情報等の取り扱いに関する各種研修を実施し、情報セキュリティに関する意識の向上に取り組んでいます。

2015年度は、昨今の情報漏えい事故の事例をイラストによりわかりやすく解説した「事故事例コンテンツ」を活用し、セキュリティ・ルールを遵守することの重要性やルールを違反した場合の全社的な影響等を実感し、具体的に学ぶ機会を設ける等、情報セキュリティの重要性に対する認識を深めるさまざまな取り組みを促進しています。

情報セキュリティ改善ワークショップ

2016年1月に開催した「情報セキュリティ改善ワークショップ」では、NTT東日本グループの情報セキュリティ担当が一堂に会し、日頃取り組んできた情報セキュリティに関する優良な取り組みを発表・議論し、そのノウハウや成果を共有する等、セキュリティ意識の向上を図りました。

さらに、社外講師を招き、講話いただくことにより、最近の標的型攻撃メール等、サイバー攻撃の動向と対策について知見を深める等、情報セキュリティに関する意識の向上に努めました。

社員の声:つなぐ力

NTT-MEサービス
埼玉事業部
アクセスサービス部門
テレメンテサービス担当

内田 優樹

社外工事立会業務における情報紛失リスクの低減の取り組み

NTT-MEサービスでは、社外施工会社による道路工事等により、NTTの地下設備が損傷を受けないように日々の立会により施工会社への注意喚起・指導を実施し、「設備事故ゼロ」をめざしています。

従来、立会現場へはお客さま情報や会社情報が記載された資料(紙)を持参していましたが、情報紛失リスク低減に向け、お客さま情報等を持ち出さなくても済む方法はないか検討し、タブレット端末(データが残らない方式)により、データを閲覧できるしくみを導入し、立会業務を行うこととしました。

今後も、情報セキュリティの向上に向けた業務プロセスの見直しやさらなる情報セキュリティの意識高揚に努めていきたいと思います。

皆さまのご意見・ご感想をお聞かせください。